Le consentement dans le RGPD
La notion de consentement est au cœur du RGPD. Elle est notamment définie à l’article 4 du règlement et développée à l’article 7. Ce terme existait déjà en France avec la Loi Informatique et Liberté que le RGPD a remplacé. Rien de totalement nouveau donc, même si le RGPD vient modifier en profondeur la notion de consentement et les obligations qui pèsent sur les entreprises françaises.
Il est donc essentiel de comprendre les obligations liées à la question du consentement pour les entreprises. Qu’est-ce que le consentement ? Comment le RGPD contrôle-t-il la validité du consentement ? Concrètement, comment se mettre en conformité avec le RGPD ?
Qu’est-ce que le consentement au sens du RGPD ?
C’est l’article 4 qui définit le consentement au sens du RGPD, en expliquant qu’il s’agit d’une manifestation de volonté par laquelle la personne concernée autorise que des données à caractère personnel la concernant soient traitées.
Plus concrètement, le RGPD définit le consentement en fonction de la notion de traitement des données qui est l’objet du consentement. Cela signifie que lorsque vous traitez des données personnelles de vos utilisateurs, vous pouvez avoir à demander le consentement de la personne concernée.
Pour rappel, le traitement des données comprend la collecte, le classement, l’utilisation des données notamment à des fins commerciales (par exemple pour constituer une base d’emails à partir d’adresses). Il est donc très probable que vous soyez concerné par cette notion. Pour plus de détails, voici qui est concerné par le RGPD et ses obligations.
Au-delà de cette première définition relativement simple du consentement, il faut savoir qu’en réalité, le consentement ne constitue qu’une des 6 raisons pouvant autoriser un organisme, entreprise ou autre, à collecter et traiter des données. On y reviendra. C’est toutefois la raison la plus courante pour une utilisation commerciale de la donnée.
En savoir plus sur le RGPD en général avec notre article : le RGPD pour les nuls.
La validité du consentement au sens du RGPD
En France, le RGPD contrôlé par la CNIL impose le respect de 4 critères pour assurer la validité du consentement donné. Ces critères sont évoqués à l’article 4 du RGPD :
Libre
Le consentement doit être libre. En pratique, le principe de liberté implique deux choses. D’une part, l’utilisateur doit avoir un vrai choix non influencé. Il doit donc avoir la possibilité de refuser le traitement de ses données. D’autre part, ce refus ne doit pas avoir d’influence négative sur la qualité du service. Par exemple, donner son consentement au traitement des données ne doit pas être une condition pour accéder aux offres proposées par les agences immobilières, visées par le RGPD et la CNIL récemment (sauf cas précis).
Spécifique
Le principe de spécificité implique que le consentement ne peut pas être donné en général. Un utilisateur ne doit pas donner son autorisation pour le traitement de ses données en général mais ne peut donner son consentement que par rapport à une utilisation précise et limitée de sa donnée.
Éclair
Le consentement doit être éclairé. Ce principe rejoint celui de transparence, plus général dans le RGPD. Cela signifie que la demande de consentement adressée à l’utilisateur doit être accompagnée d’un certain nombre d’informations : identité du responsable de traitement, finalités poursuivies (utilisations de la donnée), catégories de données collectées, existence d’un droit de retrait du consentement pour l’utilisateur… Sans ses informations, le consentement est considéré comme invalide et vous risquez alors des sanctions prévues par le RGPD.
Univoque
Selon le RGPD, le consentement doit être une déclaration ou tout acte positif clair. Il ne faut aucune ambiguïté dans le consentement. Cela exclut notamment les accords groupés pour plusieurs finalités d’utilisation ou encore les cases pré-cochées.
Le respect de l’ensemble de ses critères est nécessaire à la validité du consentement et donc à la conformité au RGPD. Comment et quand faut-il demander le consentement de l’utilisateur ?
Comment et quand demander le consentement d’un utilisateur ?
Faut-il toujours demander le consentement d’un utilisateur ?
Non ! On l’a dit, le consentement est une des 6 bases légales pouvant autoriser le traitement des données. Par exemple, l’exécution d’un contrat est une autre base légale. Néanmoins, c’est la raison la plus courante de justifier le traitement des données. Surtout, certaines opérations, comme la prospection par emails, ne peut être autorisée que par consentement. Les autres bases légales pouvant mener à un traitement, comme l’intérêt légitime, sont plus délicates à manier et plus difficiles à apprécier. Notamment, il est plus sûr pour les PME visées par le RGPD de se reposer sur le consentement.
Le consentement des enfants ?
Le RGPD donne une certaine marge de manœuvre aux États en établissement que le consentement des mineurs peut être valide entre 13 et 16 ans. En France, la limite est de 15 ans, en dessous de laquelle un responsable légal doit donner son autorisation au traitement des données.
Un consentement plus explicite
Dans certains cas, le consentement doit être plus explicite encore. Il peut alors être nécessaire de prévoir une case à cocher spécifique pour certains types de données ou encore de recueillir le consentement en deux étapes, par exemple d’abord sur le site web de l’entreprise puis par email. Cette précaution particulière concerne notamment les données sensibles au sens du RGPD.
Enfin, il est à noter qu’avec le RGPD, l’entreprise doit prévoir de donner la preuve de la collecte du consentement à tout moment en cas de contrôle. C’est un des rôles du DPO, responsable RGPD au sein de l’entreprise.
Vous le voyez, cette notion de consentement est également liée à celle de l’utilisation conforme des données par l’entreprise. Par exemple, il est essentiel de bien recueillir et contrôler l’utilisation de la donnée en fonction de l’accord qui a été donné. Pour cela, des outils peuvent vous aider à contrôler et limiter l’utilisation de la donnée. C’est notamment le cas des logiciels de chiffrement des données, comme Seald, qui vous aident à vous mettre en conformité avec le RGPD.
Better Seald than sorry.
Testez Seald avec votre équipe !